OpenSSLの脆弱性(CVE-2022-0778)に関する注意喚起について

2022年03月17日に日本国内のコンピュータ緊急対応センターである
JVNより、「OpenSSL の BN_mod_sqrt() における法が非素数のときに無限ループを引き起こす問題」が発表されました。

  JVNDB-2022-001476
  OpenSSL の BN_mod_sqrt() における法が非素数のときに無限ループを引き起こす問題
  https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-001476.html

  CVE.org：CVE-2022-0778 Detail 
  https://www.cve.org/CVERecord?id=CVE-2022-0778

  NVD：CVE-2022-0778 Detail
  https://nvd.nist.gov/vuln/detail/CVE-2022-0778

影響

 UNIVERGE QXシリーズでは、以下の機能を使用することで本脆弱性の影響を受ける可能性があります。
 ・証明書を使用する802.1x認証
 ・証明書を使用するWeb認証
 ・証明書を使用する装置へのSSH/stelnet/sftp/webコンソール接続

本脆弱性の影響を受ける可能性のある製品

QX-S1100Gシリーズ
QX-S3400Fシリーズ
QX-S4100Gシリーズ
QX-S4300Xシリーズ
QX-S5200Gシリーズ
QX-S5300Gシリーズ
QX-S5400シリーズ
QX-S5100Gシリーズ
QX-S5500Gシリーズ
QX-S5600Gシリーズ
QX-S4800Xシリーズ
QX-S5900シリーズ
QX-S5824XP-2Q2C
QX-S6600シリーズ
QX-S6832QP
QX-S4508GT-4G-I
QX-W1000シリーズ
QX-W1100シリーズ
QX-W2120AC
QX-W2230AC
QX-W Anchor software

対処方法

・本脆弱性の問題を修正したソフトウェアを順次リリースいたします。
　ソフトウェアのアップデートを実施してください。
　※ QX-S5200Gシリーズ、QX-S5500Gシリーズを除く。
・ソフトウェアのアップデートを行わない場合、以下の方法で回避可能です。
　・第３者が接続する可能性のあるポートで証明書を使用する802.1x認証を使用しない
　　（証明書不使用の802.1x認証やMAC認証・Web認証とする）
　・第３者が接続する可能性のあるWeb認証では証明書を使用しない認証方法を使用する
　・本装置への管理用アクセス可能なホストをACL機能にて信頼できるホストのみに限定する（その他機能）

改版履歴